Privacy-Handbuch
Mirror von awxcnx.de, Stand: 2013-05-13
Eine aktuelle Version gibt es hier: privacy-handbuch.de oder bei Wikibooks
Neben der Verwendung von Cookies wird auch der Inhalt des HTTP-Header für die Gewinnung von Informationen über den Surfer genutzt. Das Projekt Panopticlick der EEF zeigt, dass anhand des Fingerprint des HTTP-Headers 80% der Surfer eindeutig erkennbar sind.
Eine Verknüpfung dieser Information über mehrere Websites hinweg, ist eine Verfolgung von Nutzern möglichen. Kombiniert man diese Verfolgung mit Daten von Sozialen Netzen (Facebook, Xing, SudiVZ...), ist eine Deanonymiserung möglich.
Man findet die Option in den Firefox "Einstellungen" auf dem Reiter "Inhalt". Klicken Sie auf den Button "Erweitert", um im folgenden Dialog die Option zu deaktivieren:
Damit kann ein Datensammler nur "3" Schriftarten auslesen. Der Browser verwendet aber auch nur die drei Standardschriften zur Darstellung der Webseiten. Damit sehen nicht alle Webseiten exakt so aus, wie es sich der Designer wünscht. Um die Lesbarkeit zu verbessern, sollten man außerdem gut lesbare Standardschriften verwenden. Unter Windows eignet sich "Arial", unter Linux nutzt man am besten "Liberation Sans" (siehe Screenshot).
Man kann für einen Firefox nur eine andere Firefox-Kennung verwenden. Da die Browser durch individuelle Header erkennbar sind, ist eine Tarnung mit dem User-Agent eines anderen Browsers leicht als Fake zu identifizieren und man ist eindeutig identifizierbar. Einige Firefox Versionen unterscheiden sich nicht nur im User-Agent, sondern auch sehr subtil in einigen anderen HTTP-Headern. Man beachte das Leerzeichen nach dem Komma bei Firefox 10:
Um die User-Agent Kennung zu ändern, gibt man in der Adresszeile "about:config" ein und setzt die angebenen Variablen auf die Werte. Alle Werte sind vom Typ String. Die folgenden Fakes des JonDoFox und TorBrowser kann man für Firefox 10.0.x (esr) und auch für Firefox 11-16 nutzen, wenn man einen ein eher seltenes Betriebssytem nutzt.
Im Firefox 17.0 haben die Mozilla-Entwickler ein paar kleine subtile Änderungen an den gesendeten HTTP-Headern vorgenommen, so dass der Fake des Firefox 10 nicht mehr passt. Bei einem Firefox 17.0 sind folgende Werte zu setzen, um einen plausiblen Fake zu erstellen:
Eine Verknüpfung dieser Information über mehrere Websites hinweg, ist eine Verfolgung von Nutzern möglichen. Kombiniert man diese Verfolgung mit Daten von Sozialen Netzen (Facebook, Xing, SudiVZ...), ist eine Deanonymiserung möglich.
- User-Agent: Die meisten Browser senden Informationen über den verwendeten Browser und das Betriebssystem. Ein Beispiel zeigt, wie detailliert ein Browser Auskunft gibt: Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-DE) AppleWebKit/419.3 (KHTML, like Gecko) Safari/419.3 Beim US-Reiseportal Orbitz werden Surfern mit MacOS (am User-Agent erkennbar) die Hotelzimmer 20-30 Dollar teuerer angeboten, als anderen Kundern. Außerdem können anhand der Informationen gezielt Lücken in der verwendeten Software ausgenutzt werden.
- Ergänzende Informationen wie zum Beispiel die bevorzugte Sprache, installierte Schriftarten und Größe des inneren Browserfensters können einen individuellen Fingerprint des Browsers ergeben. Viele Werte können per Javascript ausgelesen werden. Bei der Google-Suche und beim Trackingdienst Multicounter wird die innere Größe des Browserfensters ausgewertet. Die Firma bluecave nutzt z.B. im Trackingscript BCAL5.js u.a. Informationen über installierte Schriftarten zur Identifikation der Surfer.
Deshalb sollte man Javascript nur für vertrauenswürdige Webseiten erlauben und das Auslesen der Werte behindern (soweit möglich).
Installierte Schriftarten verstecken für Firefox
Um die installierten Schriftarten zu verstecken, deaktiviert man in den Einstellungen die Option, "Webseiten das verwenden von eigenen Schriften erlauben".Man findet die Option in den Firefox "Einstellungen" auf dem Reiter "Inhalt". Klicken Sie auf den Button "Erweitert", um im folgenden Dialog die Option zu deaktivieren:
User-Agent modifizieren für Firefox
Es ist nicht so einfach, den User Agent plausibel zu faken. Um durch unsachgemäße Änderung keine eindeutige Kennung zu generieren, sollte man nachdenken, bevor man etwas ändert.Man kann für einen Firefox nur eine andere Firefox-Kennung verwenden. Da die Browser durch individuelle Header erkennbar sind, ist eine Tarnung mit dem User-Agent eines anderen Browsers leicht als Fake zu identifizieren und man ist eindeutig identifizierbar. Einige Firefox Versionen unterscheiden sich nicht nur im User-Agent, sondern auch sehr subtil in einigen anderen HTTP-Headern. Man beachte das Leerzeichen nach dem Komma bei Firefox 10:
- ACCEPT-ENCODING "gzip,deflate" (Firefox 3.6.x)
- ACCEPT-ENCODING "gzip, deflate" (Firefox 10.0.x)
Um die User-Agent Kennung zu ändern, gibt man in der Adresszeile "about:config" ein und setzt die angebenen Variablen auf die Werte. Alle Werte sind vom Typ String. Die folgenden Fakes des JonDoFox und TorBrowser kann man für Firefox 10.0.x (esr) und auch für Firefox 11-16 nutzen, wenn man einen ein eher seltenes Betriebssytem nutzt.
| Variable | Wert |
| general.useragent.override | Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0 |
| general.appname.override | Netscape |
| general.appversion.override | 5.0 (Windows) |
| general.oscpu.override | Windows NT 6.1 |
| general.platform.override | Win32 |
| general.productSub.override | 20100101 |
| general.buildID.override | 0 |
| general.useragent.vendor | |
| general.useragent.vendorSub |
Im Firefox 17.0 haben die Mozilla-Entwickler ein paar kleine subtile Änderungen an den gesendeten HTTP-Headern vorgenommen, so dass der Fake des Firefox 10 nicht mehr passt. Bei einem Firefox 17.0 sind folgende Werte zu setzen, um einen plausiblen Fake zu erstellen:
| Variable | Wert |
| general.useragent.override | Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0 |
| general.appname.override | Netscape |
| general.appversion.override | 5.0 (Windows) |
| general.oscpu.override | Windows NT 6.1 |
| general.platform.override | Win32 |
| general.productSub.override | 20100101 |
| general.buildID.override | 0 |
| general.useragent.vendor | |
| general.useragent.vendorSub |